换脸、隐身、破解人脸解锁,AI的“无间道”将通向何方?
前段时间,一些视频在网上广泛传播。有人在1994年电视剧《射雕英雄传》中使用人工智能技术,将黄蓉一角的扮演者朱茵换成了杨幂,效果几可乱真。
不信看图:
这……造型怎么看着像94版《射雕》里朱茵演的黄蓉呢?连画风都是90年代的感觉。
原来,是有一位B站UP主“换脸哥”,用AI技术将杨幂的脸“贴”在了朱茵饰演的黄蓉脸上。
看,这是一张原版的截图:
我们把朱茵的脸换成杨幂:
再看朱茵的这个表情:
换成杨幂也一样:
换脸后人脸的轮廓、表情都一样,简直看不出是人造的。整个视频,也十分流畅。
这样的效果,一下子就引来了一群吃瓜群众,微博话题阅读量达到了1.1亿。
还有人利用Deepfake造假技术将人工合成的“美国前总统奥巴马”放在境外社交媒体上,吐糟现任总统特朗普是“彻头彻尾的笨蛋”。
人们看了之后,大多当做网络段子一笑而过,但仔细想想的话,如果你的脸也被用来制作假视频、假新闻,你还能笑得出来吗?
实际上,人工智能技术的滥用和因算法漏洞引起的安全问题,已经引起了业内人士的高度警觉,一场看不见硝烟的“攻防战”,正日趋白热化。
危险逼近
人工智能正深刻地改变着人们的生产生活方式,但今年以来,利用人工智能技术造假的新闻屡见报端,也引发了越来越多的公众关注。
“公众对人工智能技术抱有希望和想象,相信它能为生活的方方面面带来改变,但我们也应当正视,当前人工智能技术还处在比较初步的发展阶段,还面临着一些挑战。”清华大学教授、该校人工智能研究院基础理论研究中心主任朱军坦言。
冰冻三尺非一日之寒。早在几年前,学术界和产业界已经感受到危机在悄悄逼近。
“这几年在各种各样的学术会议上,我们能听到越来越多关切的声音,有关人工智能安全的论文也是呈指数级增长。”瑞莱智慧(RealAI)公司CEO田天说。该公司是清华大学人工智能研究院重点孵化的一家高新技术企业。
人工智能滥用也已引起国家有关部门高度关注。
5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》,其中明确表示,网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。
除了技术的滥用,人工智能本身存在的算法漏洞也令人担忧。
几个月前,比利时鲁汶大学的研究人员发布了一则视频,实验者通过在肚子上贴一张打印出来的图片,就能够逃脱智能监控系统的识别,实现“隐身”;而想要把“隐身术”传给同伴也很简单,只要把这张纸递给他就好了。
如下面图所示,使用 YOLOv2 检测拍摄的录像,画面中人、椅子、桌子等都被准确地检测出来,但只要拿上这块 “补丁”,系统就无法检测到人。
“可以设想,如果这项技术被犯罪分子掌握,他们就能够很容易躲避智能安防系统,给公共安全带来极大威胁。”田天说。
“道”高一尺必先“魔”高一丈
2018年6月,清华大学人工智能研究院揭牌成立,以“一个核心、两个融合”作为发展战略,即以人工智能基础理论和基本方法研究为核心,积极推进大跨度的学科交叉融合,积极推进大范围的技术与产业、学校与企业融合。
该研究院院长、中国科学院院士张钹认为,作为研究性机构,清华大学人工智能研究院的本分是搞好学术研究,“但是人工智能又与应用结合相当紧密,因此研究院不仅仅是开开会,我们的研究一定要产生出算法、孵化出新产业,甚至成为人工智能界的‘BAT’”。
在这一思路的指引下,瑞莱智慧(RealAI)应运而生,其核心研发团队来自清华大学、北京大学、中科院等,致力于打造安全、可靠、可解释的第三代人工智能,提供工业检测、预测性维护、金融风控、人工智能系统安全评测与防护等服务。
“在技术层面,人工智能安全会是一个持续攻防的过程。”田天说,“攻击者会采用新的方法来进行攻击,而防御者也需要适应动态变化的攻击场景。如果要占据主动权,就要对未来可能潜在的攻防场景做预演,并为应对潜在的风险提前设计可行方案。”
瑞莱智慧算法科学家萧子豪介绍,他们很早就关注到网上假视频、假图片的问题,一直在想能否利用清华积累的技术优势,去防止人工智能技术的滥用。
但是,想练就一副“火眼金睛”,就需要大量高质量的数据去训练计算机。
近期,瑞莱智慧将工作的重点放在了换脸假视频的检测上,研发团队利用清华大学人工智能研究院在深度生成模型方面的积累,通过生成更加逼真的假视频,训练出了一个更加可靠的模型来检测假视频。
图:RealAI“反AI变脸检测”技术 ,绿框为正常视频帧,红框为检测出的造假视频帧
RealAI研究人员表示,Deepfake生成的造假视频画面会有不“自然”的纹理存在。为此,他们通过海量视频训练神经网络,让其学习正常情况中的纹理特征,再以此检测造假视频中不一致的纹理。
经测试,这一模型的识别准确率超过了99%,能够覆盖市面上绝大多数换脸技术生成的假视频,达到了“真的不误杀,假的不漏判”的目标。
打开“黑盒”
张钹在2016年中国计算机大会上提出了“后深度学习时代的人工智能”,此后又进一步提出了“第三代人工智能”的概念,曾引起广泛关注。
这是因为当前主流的基于深度学习的人工智能技术即第二代人工智能,存在着一个难以逾越的“天花板”,业内人士称之为“黑盒”。
“当前人工智能的算法越来越复杂,它告诉你明天要下雨,但是你完全不知道它是怎么做的决策,又谈何信赖呢?”田天坦言,如果被人利用,“黑盒”将带来严重的安全问题。
鲁汶大学的“隐身术”原理其实就是针对这种算法漏洞,专门生成一些噪点,来诱导人工智能识别出错。瑞莱智慧也做了类似的尝试。技术人员研发了一种带有噪点的“眼镜”,只要戴上,就能通过商用智能手机的刷脸解锁。
正常情况下无法解锁他人手机
带上道具瞬间完成解锁,破解成功
图片中可以看到,“攻击者”戴上眼镜识别的瞬间便可成功解锁,无需特定的角度和光线,无需暴力尝试。与照片解锁、造假视频、3D建模等传统方法相比,该方法成本更低、成功率更高。
基于对抗样本生成的“眼镜”道具
多年来,清华大学人工智能研究院一直在攻防技术上深耕,曾在谷歌公司组织的“对抗样本攻防竞赛”上获得了所有任务的冠军。
创办瑞莱智慧后,研发团队利用新技术做了更精确的建模,更加深入地研究如何利用白盒的替代模型来攻击黑盒的受害模型。
目前团队也已经研发出相应的防御技术,可能很大程度上检测并防御当前的对抗样本攻击。通过对手机识别系统进行防火墙升级,在解锁的过程中可以识别出“攻击者”,并对其拒绝访问。
RealAI的AI防火墙技术可检测并防御“对抗样本”攻击
通过发现真实存在的、危害更大的漏洞,团队进一步有针对性地设计防御算法来提升整个人工智能系统的安全性。
今年5月,清华大学人工智能研究院与瑞莱智慧联合发布了人工智能安全平台——“RealSafe对抗攻防平台”,它能够提供多种攻击与防御算法,开展全面、细致的攻击防御算法的评测与比较。
此外,通过该平台,研究人员可以很容易地开展人工智能安全方面的学习和实训,帮助更多的人来关心和研究人工智能安全。
“随着人工智能技术渗透到人们生活的各个方面,因技术滥用、算法漏洞等导致的安全问题也随之而来。对此,公众需要提高自我保护意识。”田天呼吁。
显然,人工智能的“无间道”还将长时间上演。但可以肯定的是,这条螺旋式上升的路,最终会将人类带往一个充满想象力的未来。
